Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Semplice viaggi s.r.l. - 1 ottobre 2015 [4611905]

[doc. web n. 4611905]

Ordinanza ingiunzione nei confronti di Semplice viaggi s.r.l. - 1 ottobre 2015

Registro dei provvedimenti
n. 511 del 1° ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ex art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) (n. 23021/78073 del 17 settembre 2012), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 17 ottobre 2012 nei confronti di Semplice viaggi s.r.l. P.Iva: 06206400720, con sede in Genova, via Brigata Liguria n. 3, in persona del legale rappresentante pro-tempore, dai quali è risultato, tra l´altro, che, sul sito Internet www.ticketcrociere.it, erano presenti, in distinte pagine web, due form di raccolta dati, uno per la richiesta di informazioni/preventivi e l´altro per la registrazione alla newsletter. A fronte della raccolta di dati personali effettuata tramite entrambe i form, veniva resa la medesima inidonea informativa agli utenti interessati ai sensi dell´art. 13 del Codice. Inoltre, per la prosecuzione della procedura di registrazione relativa al form per la richiesta di informazioni/preventivi, gli utenti/interessati trovavano pre-impostato, mediante apposito "flag", il consenso al trattamento dei loro dati per l´ulteriore finalità di "ricevere le migliori offerte ?", in violazione di quanto previsto dall´art. 23 del Codice;

VISTO il verbale n. 99 del 22 novembre 2012 con cui sono state contestate alla società, due violazioni amministrative delle quali una previste dall´art. 161 del Codice, in relazione all´art. 13, e l´altra prevista dall´art. 162, comma 2-bis del Codice, in relazione all´art. 23, informandola, per entrambe le violazioni, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689;

RILEVATO dal rapporto predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al suddetto verbale di contestazione, che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo, datato 24 gennaio 2013 e inviato ai sensi dell´art. 18 della legge 24 novembre 1981, n. 689, con il quale la società ha evidenziato come, riguardo la violazione di cui all´art. 13 del Codice inerente l´inidoneità dell´informativa resa in calce ai due form di raccolta dati per la richiesta di informazioni/preventivi e per la registrazione alla newsletter, "(…) l´informativa magari ometteva, è vero, tali specifiche indicazioni, focalizzandosi sul diritto dell´utente di accedere ai propri dati, ma le informazioni (…) erano già note all´utente: infatti era evidente l´uso che dei dati si sarebbe fatto. Peraltro Semplice Viaggi srl rientra tra le P.M.I. e come tale gode del regime delle semplificazioni accordato dall´Autorità alle imprese di dimensioni ridotte e non dovrebbe essere tenuta ad indicare nell´informativa le circostanze già note all´interessato". Relativamente alla violazione dell´art. 23 del Codice, con riferimento alla pre-impostazione, mediante apposito flag, del consenso al trattamento dei dati volto alla richiesta di informazioni/preventivi, per l´ulteriore finalità di "ricevere le migliori offerte ?", ha osservato come, nel caso di specie, trovi applicazione il disposto dell´art. 130, comma 4 del Codice, atteso che "Coloro che richiedono il preventivo si pongono chiaramente in un rapporto negoziale che può essere definito -contesto di vendita-". Ha osservato, altresì, citando i provvedimenti dell´Autorità del 27 maggio 1997 e del 24 febbraio 2005, punto 7, come nel rilievo in argomento "(…) il consenso principale può essere reso indipendentemente dall´ulteriore finalità ed è comunque consentito spostare il flag senza che ciò influenzi la richiesta di preventivo". Inoltre, richiamando l´art. 3 della legge n. 689/1981, ha argomentato la ricorrenza dei presupposti applicativi della buona fede e dell´error juris;

VISTO il verbale di audizione delle parti redatto in data 13 maggio 2013 ai sensi dell´art. 18 della legge n. 689/1981, nel quale la società ha sostanzialmente ribadito quanto argomentato negli scritti difensivi;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità  in relazione a quanto contestato. Riguardo la violazione di cui all´art. 13 del Codice, si evidenzia come, l´informativa resa a fronte della raccolta di dati personali effettuata tramite i due form di raccolta, sia, per stessa ammissione della società, mancante degli elementi previsti dalla lettera a) alla lettera f) dell´art. 13, comma 1 del Codice, la cui puntuale e completa indicazione è obbligatoria. Ciò anche in considerazione della richiamata disciplina riconducibile alla previsione dell´art. 13, comma 2, in quanto, all´interessato devono essere fornite tutte le informazioni attinenti allo specifico trattamento di dati personali che ci si accinge ad effettuare, non potendo essere rimesso allo stesso il compito di individuare (o indovinare) tutti gli elementi richiesti dalle lettere dalla a) alla f) del citato art. 13, comma 1. Risulta parimenti privo di pregio anche quanto asserito circa il "(…) regime delle semplificazioni accordato dall´Autorità alle imprese di dimensioni ridotte (…)", atteso che quelli oggetto di contestazione non rientrano nell´ambito dei trattamenti di dati personali regolati dal provvedimento dell´Autorità datato 19 giugno 2008, recante "Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili". Relativamente alla violazione dell´art. 23 del Codice, si deve preliminarmente evidenziare come, diversamente da quanto ritenuto, subordinare il servizio richiesto all´espressione del consenso per altre finalità (marketing), perfeziona l´illecito contestato, in quanto viola il principio di "libertà" del consenso previsto dal citato art. 23, comma 3 del Codice. Il fatto, non contestato, che la manifestazione del consenso fosse predisposta mediante la pre-impostazione del flag sulla dicitura "Accetto", era idoneo a condizionare la volontà dell´interessato, così come peraltro più volte affermato dall´Autorità in diversi provvedimenti (già con provv. 10 maggio 2006 doc. web n. 1298709 e più di recente, tra gli altri, con provv. del 4 luglio 2013 doc. web n. 2542348 recante Linee guida in materia di attività promozionale e contrasto allo spam). Inoltre, si osserva come non trovi applicazione, al caso di specie, il disposto dell´art. 130, comma 4 del Codice, atteso che tale articolo è applicabile a condizione che si realizzino i necessari presupposti costituiti, tra l´altro, dall´utilizzo delle sole coordinate di posta elettronica, dalla necessità di informare il destinatario della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente e dall´aver adeguatamente informato l´interessato. Risulta provato, ai sensi dell´art. 13 della legge n. 689/1981, che tali elementi essenziali non sono riscontrabili nel caso che ci occupa, atteso che, l´informativa era inidonea per le ragioni sopra esposte e che non vi era alcuna esplicita indicazione sulla possibilità di opporsi al trattamento da parte dell´interessato. Peraltro, risulta inconferente quanto argomentato circa l´effettiva stipula dei contratti, atteso che l´obbligo di acquisire un consenso libero e informato ai sensi dell´art. 23 del Codice prescinde dalla stipula contrattuale propriamente detta, ma si perfeziona nel momento del conferimento dei dati. Risulta parimenti inconferente quanto osservato circa i provvedimenti dell´Autorità del 27 maggio 1997 e del 24 febbraio 2005, punto 7, poiché, le materie trattate da entrambe, non hanno alcuna attinenza con il caso in trattazione. Quanto dedotto non consente di qualificare gli elementi costitutivi della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza, elemento che non è riscontrabile nel caso di specie (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426);

RILEVATO che la società ha quindi effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) degli utenti (interessati) che, tramite due form di raccolta dati, uno per la richiesta di informazioni/preventivi e l´altro per la registrazione alla newsletter, senza rendere un´idonea informativa ai sensi dell´art. 13 del Codice e senza acquisire il prescritto consenso ai sensi dell´art. 23 del Codice;

VISTO l´art. 161 del Codice, che punisce la violazione delle disposizioni di cui all´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quelle di cui all´art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro per ciascun rilievo;

RITENUTO che sussistono gli elementi che consentono di applicare la previsione di cui all´art. 164-bis, comma 1, del Codice per entrambe gli illeciti contestati;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 161 del Codice in combinato disposto con l´art. 164-bis, comma 1, nella misura di euro 2.400,00 (duemilaquattrocento) e l´ammontare della sanzione pecuniaria per la violazione dell´art. 162, comma 2-bis del Codice in combinato disposto con l´art. 164-bis, comma 1, nella misura di euro 4.000,00 (quattromila), per un importo complessivo pari a euro 6.400,00 (seimilaquattrocento);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Semplice viaggi s.r.l. P.Iva: 06206400720, con sede in Genova, via Brigata Liguria n. 3, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 6.400,00 (seimilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis del Codice;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 6.400,00 (seimilaquattrocento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 1° ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia